TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

Akiraランサムウェアグループ、4200万ドルを荒稼ぎ 250の組織が被害

Europolと米国およびオランダの政府機関による共同勧告によると、Akiraランサムウェアグループは2023年3月から2024年1月までの期間に約4200万ドルの収益を得た。

このランサムウェア・アズ・ア・サービス(RaaS)アクターは、この期間に北米、欧州、オーストラリアの250を超える組織に影響を与えたとみられ、幅広い企業や重要インフラ組織が被害に遭った。

米連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)、Europolの欧州サイバー犯罪センター(EC3)、オランダ国家サイバーセキュリティセンター(NCSC-NL)が発表したこの勧告は、Akiraの進化する戦術・技術・手順(TTP)について組織に警告し、それらに対する防御方法を助言した。

Akiraがランサムウェアで組織に感染させる方法

Akiraは比較的新しいサイバー犯罪グループで、2023年第1四半期に活動を開始したようだ。それ以降、FBIのInternet Crime Report 2023では、Akiraが2023年に重要インフラに影響を与えたランサムウェア亜種として、LockBitおよびALPHV/BlackCatに次いで3番目に多かったことが示された。

新たな勧告では、Akiraの脅威アクターは当初Windowsシステムに注力していたが、2023年4月にVMware ESXi仮想マシンを標的とするLinux亜種を開発したと指摘している。

AkiraのアフィリエイトはC++およびRustで書かれた亜種を使用し、.akiraと.powerrangesの両方の拡張子を用いる。

  • 既知のCiscoの脆弱性を悪用し、多要素認証(MFA)が設定されていない仮想プライベートネットワーク(VPN)サービス経由で組織にアクセスする
  • リモートデスクトッププロトコル(RDP)などの外部公開サービスの利用
  • スピアフィッシング攻撃
  • 認証情報の不正利用

初期アクセス後、アフィリエイトは永続化を確立するために新しいドメインアカウントを作成する。また、Kerberoastingなどの侵害後攻撃手法を活用し、ローカルセキュリティ機関サブシステムサービス(LSASS)のプロセスメモリに保存された認証情報を抽出していることも確認されている。

MimikatzやLaZagneといった認証情報スクレイピングツールは権限昇格を支援するために使用され、SoftPerfectやAdvanced IP Scannerなどの他のツールは偵察目的で用いられることが多い。

成功の可能性を高めるため、一部のAkira脅威アクターは、同一の侵害事案内で異なるシステムアーキテクチャに対して2種類の異なるランサムウェア亜種を展開していることが観測されている。

また、検知を回避するために被害者のセキュリティソフトウェアを無効化することも一般的で、たとえばPowerToolを用いてZemana AntiMalwareドライバーを悪用し、アンチウイルス関連プロセスを終了させる。

持ち出し(エクスフィルトレーション)と暗号化の手法

FileZilla、WinRAR、WinSCP、RCloneなどのツールが、Akiraのアフィリエイトによって被害者からデータを持ち出すために利用されている。

持ち出しは、ファイル転送プロトコル(FTP)、セキュアファイル転送プロトコル(SFTP)、Megaのようなクラウドストレージサービスなど、さまざまなプロトコルを通じて行われ、AnyDeskやCloudflare tunnelといった入手容易なツールがコマンド&コントロール(C2)チャネルの確立に使用される。

勧告では、Akiraのアクターは通常、データを持ち出した後にシステムを暗号化する二重恐喝モデルを採用していると観測された。

これにより、Torネットワーク上で持ち出したデータを公開すると脅すことで、被害者にさらなる圧力をかけることができる。

Akiraの身代金要求メモには、各社固有のコードと、.onion URLを介して脅威アクターに連絡するための手順が記載されている。身代金の支払いは、脅威アクターが提示する暗号資産ウォレットアドレス宛てに、ビットコインで要求される。

データをロックするために高度なハイブリッド暗号化方式が用いられており、完全暗号化または部分暗号化が可能である。

さらに、Akiraの暗号化ツールはPowerShellコマンドを使用してWindowsシステム上のボリュームシャドウコピー(VSS)を削除し、システム復旧をいっそう困難にする。

Akira攻撃への防御方法

  • 復旧計画を実装し、機密データまたは専有データおよびサーバーの複数コピーを、物理的に分離され、セグメント化され、安全な場所で維持・保管する
  • パスワードログインを行うすべてのアカウントに対し、米国国立標準技術研究所(NIST)のガイダンスへの準拠を求める
  • すべてのサービスにMFAを強制し、特にウェブメール、VPN、重要システムにアクセスするアカウントを対象とする
  • すべてのオペレーティングシステム、ソフトウェア、ファームウェアを最新の状態に保ち、適時にパッチを適用する
  • ネットワークセグメンテーションを採用し、システム内でのランサムウェアの拡散を防止する
  • 不明または信頼できない送信元が内部システム上のリモートサービスにアクセスできないようにして、ネットワークトラフィックをフィルタリングする
  • 管理者レベル以上に設定されたアカウントに対して、時間ベースのアクセスを実装する
  • コマンドラインおよびスクリプト活動と権限を無効化する
  • すべてのバックアップデータが暗号化され、改変不可能であることを確保する

翻訳元: https://www.infosecurity-magazine.com/news/akira-ransomware-42-million/

ソース: infosecurity-magazine.com
#Akiraランサムウェア #CISA #Europol(EC3) #FBI #NCSC-NL #VMware ESXi #VPN脆弱性 #ビットコイン身代金 #ランサムウェア・アズ・ア・サービス(RaaS) #二重恐喝

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新